Hong Kong PDPO Compliance
Hong Kong's Personal Data (Privacy) Ordinance (PDPO) requires data users to safeguard personal data with all practicable security steps.Learn how ImmuniWeb helps you meet Data Protection Principle 4.
Conformité à l’ordonnance de Hong Kong sur la protection des données personnelles (PDPO)
Qu’est-ce que la PDPO de Hong Kong?
The PDPO governs how organizations collect, hold, process and use personal data. Its six Data Protection Principles cover collection purpose and means, accuracy and retention, use, security, openness, and data subject access and correction.
It applies to 'data users' who control the collection, holding, processing or use of personal data. The PCPD investigates complaints, issues enforcement notices and guidance, and the 2021 amendments introduced criminal offences targeting doxxing.
See how ImmuniWeb helps you meet PDPO Data Protection Principle 4- the security of the personal data your web and mobile apps hold. Request a demo· or run a free Community Edition test.
Qui doit se conformer à la PDPO?
La PDPO s’applique à:
- Utilisateurs de données (publics ou privés) qui contrôlent la collecte, la détention, le traitement ou l’utilisation de données à caractère personnel à Hong Kong ou depuis Hong Kong.
- Les organisations, quelle que soit leur taille ou leur secteur, qui traitent des données à caractère personnel des particuliers. ]]
- Traitants de données engagés par les utilisateurs de données, qui restent responsables de la sécurité de leurs traitants.
Toute organisation exploitant des applications web et mobiles contenant des données personnelles doit prendre toutes les mesures pratiques pour les sécuriser conformément au DPP4.
Exigences clés du PDPO pour la sécurité des applications
La sécurité des applications relève du Principe de Protection des Données n° 4:
- DPP4 - Sécurité des données à caractère personnel: prendre toutes les mesures praticables pour protéger les données à caractère personnel contre tout accès, traitement, effacement, perte ou utilisation non autorisé ou accidentel.
- Considérations fondées sur les risques: la sensibilité des données, les préjudices qu'une violation pourrait causer, l'endroit où les données sont stockées et les mesures de sécurité appliquées aux systèmes et à la transmission.
- Gestion des violations de données: le PCPD recommande une gestion et une notification rapides des violations, conformément à ses lignes directrices.
Exigences de sécurité de la LPPD en détail
DPP4 - Security of Personal Data
La DPP4 exige que les utilisateurs de données prennent «toutes les mesures praticables» pour garantir la sécurité des données personnelles. Pour les systèmes exposés à Internet, cela signifie tester les applications web et mobiles, les API et l’infrastructure qui contiennent des données personnelles afin de détecter les vulnérabilités, puis corriger les problèmes identifiés — avant et après tout changement significatif.
Gestion des fuites de données
Alors que la notification des violations a historiquement été recommandée plutôt qu’obligatoire, les directives de la PCPD attendent un traitement et une notification rapides. Réduire la probabilité de violation par des tests d'application réguliers est le moyen le plus efficace d'anticiper ces attentes.
Risques courants des applications Web et mobiles à remédier
Les violations de données personnelles commencent souvent par des applications web et mobiles vulnérables. Les risques que la DPP4 attend de vous de traiter correspondent étroitement au Top 10 de l'OWASP:
- Broken Access Control — les utilisateurs accédant à des données ou à des actions qu'ils ne devraient pas.
- Échecs cryptographiques — chiffrement faible ou absent exposant des données sensibles.
- Injection — Injection SQL, de commande ou autre via des entrées non validées.
- Insecure Design — contrôles de sécurité manquants par conception, pas seulement à cause d'un bug.
- Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
- Composants vulnérables et obsolètes — bibliothèques et frameworks non patchés.
- Identification & Authentication Failures — weak login, session or credential handling.
- Échecs d'intégrité des logiciels et des données — mises à jour non fiables, pipelines CI/CD non sécurisés.
- Échecs de journalisation et de surveillance de la sécurité — les attaques passent inaperçues.
- Server-Side Request Forgery (SSRF) — le serveur est induit en erreur pour effectuer des requêtes malveillantes.
Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.
How to Approach PDPO Application Security with ImmuniWeb
- Cartographiez votre exposition. Inventorie les applications et actifs exposés à Internet avec ImmuniWeb Discovery.
- Testez les applications web avec On-Demand (pentesting) et Neuron (scanning).
- Testez les applications mobiles avec MobileSuite et Neuron Mobile.
- Corriger et rétester grâce à des rapports exploitables et sans faux positifs – preuve de «toutes les mesures praticables».
- Continuez à tester en continu avec Continuous dans CI/CD et des retests périodiques.
- Surveillez les fuites avec la surveillance du Dark Web de Discovery.
Comment ImmuniWeb vous aide à assurer la conformité au PDPO
ImmuniWeb aide les utilisateurs de données à prendre et à prouver «toutes les mesures praticables» exigées par DPP4.
| Exigence | Ce que cela nécessite | Produits ImmuniWeb |
|---|---|---|
| DPP4 | Prendre toutes les mesures pratiques réalisables pour sécuriser les données personnelles. | On-Demand, Neuron, Discovery, Continuous |
| Applications et données | Secure web/mobile apps holding personal data. | On-Demand, Neuron, MobileSuite, Neuron Mobile |
| Préparation aux incidents de sécurité | Détectez les expositions et les fuites de données ; maintenez la surface d'attaque cartographiée. | Discovery (ASM / Dark Web) |
ImmuniWeb On-Demand et MobileSuite proposent des tests d’intrusion Web et mobiles ; Neuron et Neuron Mobile fournissent des balayages automatisés ; Continuous intègre les tests dans le CI/CD ; et Discovery cartographie votre surface d’attaque et surveille le Dark Web pour les données personnelles divulguées.
PDPO vs International Frameworks
Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:
| Framework | Perspective sécurité des applications | Comment ImmuniWeb s'aligne |
|---|---|---|
| Hong Kong PDPO | DPP4 sécurité des données personnelles | Tests d’intrusion Web/mobile, analyse, ASM, surveillance du Dark Web |
| Singapore PDPA | Section 24: Obligation de protection | Les mêmes tests couvrent les deux |
| RGPD | Article 32 sécurité du traitement | Les mêmes tests couvrent les deux |
| ISO/IEC 27001 | Annexe A: contrôles techniques | Tests comme preuve de contrôle |
Tests d'intrusion vs scans de sécurité
Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.
Liste de contrôle de conformité (Sécurité des applications)
- Inventaire des applications exposées sur Internet et des actifs exposés
- Applications web testées contre le Top 10 OWASP
- Applications mobiles testées par rapport à la liste OWASP Mobile Top 10
- Toutes les mesures de sécurité praticables ont été mises en œuvre et vérifiées (DPP4)
- Les sous-traitants sont tenus de respecter des normes de sécurité équivalentes
- Les failles identifiées sont corrigées et retestées ; les enregistrements sont conservés
- Surveillance de l'exposition et du Dark Web en place
Pourquoi la conformité PDPO est importante
Le PCPD peut émettre des avis d'exécution, et toute non-conformité peut entraîner des amendes et, pour les infractions de doxxing introduites en 2021, des amendes allant jusqu'à 1 000 000 HK$ ainsi qu'une peine d'emprisonnement pouvant aller jusqu'à 5 ans. Une violation entraîne également une atteinte à la réputation dans un pôle financier majeur.
Les applications web et mobiles étant l’un des principaux vecteurs de violation, sécuriser et tester ces applications de manière démonstrable est l’un des moyens les plus clairs pour se conformer au DPP4 et réduire les risques.